Guia

Autenticação

A API PDV+ utiliza autenticação via JSON Web Tokens (JWT). Todas as requisições (exceto o próprio endpoint de geração de token) devem conter o header Authorization: Bearer <token>.

Obtenção do token

Faça um POST em /auth/token com seu usuário e senha. O servidor responde com um token assinado e seu tempo de expiração.

Request

curl -X POST 'https://api.poscontrole.com.br/v3/auth/token' \
  -H 'Content-Type: application/json' \
  -d '{ "username": "seu_usuario", "password": "sua_senha" }'

Uso do token

Inclua o header Authorization em todas as demais chamadas:

Header

Authorization: Bearer xxxxxx.yyyyyyy.zzzzzz

Expiração e renovação

O token possui validade limitada (informada no campo expiresIn da resposta de login, em segundos). Quando o token expira, qualquer chamada autenticada retorna 401 Unauthorized. Nesse caso, basta requisitar /auth/token novamente e reutilizar o novo token.

Boa prática: armazene o token em memória do seu servidor de aplicação e renove-o proativamente antes do tempo de expiração. Nunca exponha credenciais nem token em aplicações cliente (browser/mobile) — concentre as chamadas em seu backend.

Erros comuns

401 Unauthorized — token ausente, inválido ou expirado.
403 Forbidden — token válido mas sem permissão para o recurso/loja.